10.3. 일치하는 규칙에 사용할 인증서에서 데이터 가져오기
다음 절차에서는 인증서 매핑 규칙의 일치하는 규칙에 복사하여 붙여넣을 수 있도록 인증서에서 데이터를 가져오는 방법을 설명합니다. 일치하는 규칙에 필요한 데이터를 가져오려면 sssctl cert-show
또는 sssctl cert-eval-rule
명령을 사용합니다.
사전 요구 사항
- PEM 형식의 사용자 인증서가 있습니다.
절차
필요한 데이터를 검색할 수 있도록 인증서가 올바르게 인코딩되었는지 확인하는 변수를 만듭니다.
# CERT=$(openssl x509 -in /path/to/certificate -outform der|base64 -w0)
sssctl cert-eval-rule
을 사용하여 일치하는 데이터를 확인합니다. 다음 예제에서는 인증서 일련 번호가 사용됩니다.# sssctl cert-eval-rule $CERT --match='<ISSUER>CN=adcs19-WIN1-CA,DC=AD,DC=EXAMPLE,DC=COM' --map='LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})' Certificate matches rule. Mapping filter: (altSecurityIdentities=X509:<I>DC=com,DC=example,DC=ad,CN=adcs19-WIN1-CA<SR>0F0000000000DB8852DD7B246C9C0F0000003B)
이 경우
altSecurityIdentities=
후 모든 항목을 AD의altSecurityIdentities
속성에 추가합니다. SKI 매핑을 사용하는 경우--map='LDAPU1:(altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})'
를 사용합니다.선택 사항: 인증서 발행자가
ad.example.com
도메인의dcs19- Cryostat1-CA
와 일치해야 함을 지정하는 일치 규칙에 따라 CLI에 새 매핑 규칙을 생성하려면 사용자 계정의altSecurityIdentities
항목과 일치해야 합니다.# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=adcs19-WIN1-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule 'LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})'